Le site Web d’iClicker, une plate-forme populaire d’engagement des étudiants, a été compromis lors d’une attaque ClickFix qui utilisait une fausse invite CAPTCHA pour inciter les étudiants et les instructeurs à installer des logiciels malveillants sur leurs appareils.
iClicker est une filiale de Macmillan et est un outil de classe numérique qui permet aux instructeurs de prendre des présences, de poser des questions ou des sondages en direct et de suivre l’engagement des étudiants. Il est largement utilisé par 5 000 instructeurs et 7 millions d’étudiants dans des collèges et universités à travers les États-Unis, y compris l’Université du Michigan, l’Université de Floride et des universités en Californie.
Selon une alerte de sécurité de l’équipe Informatique sécurisée de l’Université du Michigan, le site iClicker a été piraté entre le 12 et le 16 avril 2025 pour afficher un faux CAPTCHA demandant aux utilisateurs d’appuyer sur « Je ne suis pas un robot » pour se vérifier.
Cependant, lorsque les visiteurs cliquaient sur l’invite de vérification, un script PowerShell était copié silencieusement dans le presse-papiers de Windows dans ce que l’on appelle une attaque d’ingénierie sociale « ClickFix ».
Le CAPTCHA demanderait ensuite aux utilisateurs d’ouvrir la boîte de dialogue Exécuter Windows (Win + R), d’y coller le script PowerShell (Ctrl + V) et de l’exécuter en appuyant sur Entrée pour se vérifier.
Alors que l’attaque ClickFix ne fonctionne plus sur le site iclickers, une personne sur Reddit a lancé la commande sur Any.Exécuter, révélant la charge utile PowerShell qui est exécutée.
La commande PowerShell utilisée dans l’attaque iClicker était fortement obscurcie, mais lorsqu’elle était exécutée, elle se connectait à un serveur distant à http://67.217.228 [.]14: 8080 pour récupérer un autre script PowerShell qui serait exécuté.
Malheureusement, on ne sait pas quel malware a finalement été installé, car le script PowerShell récupéré était différent selon le type de visiteur.
Pour les visiteurs ciblés, il enverrait un script qui télécharge des logiciels malveillants sur l’ordinateur. L’Université du Michigan affirme que le logiciel malveillant a permis à l’auteur de la menace d’avoir un accès complet à l’appareil infecté.
Pour ceux qui n’étaient pas ciblés, tels que les bacs à sable d’analyse des logiciels malveillants, le script téléchargerait et exécuterait à la place le redistribuable Microsoft Visual C++ légitime, comme indiqué ci-dessous.
iwr https://download.microsoft.com/download/9/3/f/93fcf1e7-e6a4-478b-96e7-d4b285925b00/vc_redist.x64.exe -out "$env:TMP/vc_redist.x64.exe"; & "$env:TMP/vc_redist.x64.exe"Les attaques ClickFix sont devenues des attaques d’ingénierie sociale généralisées qui ont été utilisées dans de nombreuses campagnes de logiciels malveillants, y compris celles prétendant être un CAPTCHA Cloudflare, Google Meet et des erreurs de navigateur Web.
Lors des campagnes précédentes, l’attaque a probablement distribué un infostealer, qui peut voler des cookies, des informations d’identification, des mots de passe, des cartes de crédit et l’historique de navigation de Google Chrome, Microsoft Edge, Mozilla Firefox et d’autres navigateurs Chromium.
Ce type de malware peut également voler des portefeuilles de crypto-monnaie, des clés privées et des fichiers texte susceptibles de contenir des informations sensibles, tels que ceux nommés seed.sms, passe.txt, grand livre.sms, trezor.txt, métamasque.SMS, bitcoin.sms, mots, portefeuille.SMS,*.txt, et *.pdf.
Ces données sont collectées dans une archive et renvoyées à l’attaquant, où il peut utiliser les informations dans d’autres attaques ou les vendre sur des places de marché de la cybercriminalité.
Les données volées peuvent également être utilisées pour mener des violations à grande échelle qui conduisent à des attaques par ransomware. Comme l’attaque visait des étudiants et des enseignants, l’objectif aurait pu être de voler des informations d’identification pour mener des attaques sur les réseaux universitaires.
Breachtrace a contacté MacMillan à plusieurs reprises avec des questions concernant cette attaque cette semaine, mais n’a pas répondu à nos questions.
Cependant, Breachtrace a découvert plus tard qu’iClicker avait publié un bulletin de sécurité sur son site Web le 6 mai, mais incluait une balise < meta name=’robots’ content=’noindex, nofollow’ /> dans le code HTML de la page, empêchant le document d’être indexé par les moteurs de recherche et rendant ainsi plus difficile la recherche d’informations sur l’incident.
« Nous avons récemment résolu un incident affectant la page de destination iClicker (iClicker.com). Il est important de noter qu’aucune donnée, application ou opération iClicker n’a été affectée et que la vulnérabilité identifiée sur la page de destination iClicker a été résolue », lit le bulletin de sécurité d’iClicker.
« Ce qui s’est passé: un tiers indépendant a placé un faux Captcha sur notre page de destination iClicker avant que les utilisateurs ne se connectent à iClicker sur notre site Web. Ce tiers espérait amener les utilisateurs à cliquer sur le faux captcha similaire à ce que nous vivons malheureusement assez souvent dans les e-mails de phishing ces jours-ci. »
« Par prudence, nous recommandons à tous les professeurs ou étudiants qui ont rencontré et cliqué sur le faux Captcha du 12 au 16 avril sur notre site Web d’exécuter un logiciel de sécurité pour s’assurer que leurs appareils restent protégés. »
Utilisateurs qui ont accédé iClicker.com pendant que le site était piraté et suivait les fausses instructions CAPTCHA, ils devaient immédiatement changer leur mot de passe iClicker, et si la commande était exécutée, remplacez tous les mots de passe stockés sur leur ordinateur par un mot de passe unique pour chaque site.
Pour vous aider, il est suggéré d’utiliser un gestionnaire de mots de passe comme BitWarden ou 1Password.
Il est important de noter que les utilisateurs qui ont accédé à iClicker via l’application mobile ou qui n’ont pas rencontré le faux CAPTCHA ne sont pas menacés par l’attaque.